@ REPUBLIQUE FRANQAISE 

INSTITUT NATIONAL 
DE U PROPRIETE INDUSTRIELLE 



PARIS 



W de publication : 

(A n'utiliMr que pour let 
commantfet de reproduction) 



ly N" d'enregistrement national 



@ Int a* : G 06 K 9/62, 19/00. 



2 620 248 
87 12366 



DEMANDE DE BREVET D'INVENTION 



A1 



22) Date de depot : 7 septembre 1987. 
3d) Priorite: 



@ Date de la mise a disposition du public de la 
demande : BOPI « Brevets » n*> 10 du 10 mars 1989. 

^ References a d'autres documents nationaux appa* 
rentes : 



@ Demandeur(8) : ETAT FRANCAIS. reprisenti par le Mi- 
nistre dil6gu6 des Posies et W6communications, Centre 
National d'Etudes des Telecommunications, Etabtissement 
Public de diffusion dit : TELEDIf FUSION DE FRANCE, - 
FR et PHILIPS SA, Laboratoire de Recherches Bruxelles. 
" BE. 



72) Inventeur(s) : Lours C Guillou ; Jean-Jacques Quisqua- 
ter. 



@ Titulairets) 



74) Mandataire(8) : Brevatoma 



Proc6d6$ d'authentification d'accreditations ou de messages a 
messages. 



apport nul de connaissance et de signature de 



^7) Au iieu d'utiiiser des accreditations multiples et un pro* 
cessus it6ratif de verification, on utilise une accreditation pro- 
fonde (exposant p eiev^) et on tire au hasard un nombre D 
comprls entre 0 et p— 1. Les operations de verification pas- 
sent par le calcul de la puissance D ieme de Taccreditation 
inverse 8. 

Application notamment aux cartes 6 puce et plus speciale- 
ment aux cartes bancaires. 
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MOCEOES D'AUTHENTIFICATION O'ACCREDITATIONS OU DE 
MESSAGES A APPORT NUL DE CONNAISSANCE ET DE SIGNATURE 
DE MESSAGES 

DESCRIPTION 

La pr^sente Invention, a pour objet des proc^d^s 
d'authentification d'accrMitations ou de messages h apport nuL 
de connalssance et un proc^d^ de. signature de messages. 

LMnventlon trouve de nombreuses applications dans La 
verification de I'authentlclt* de cartes bancalres dites "A 
puces" ou plus g^n^ralement de Uauthentlcit^ de tout support 
permettant i son d^tenteur de commander un accAs^ ih un locals h 
un coffre^ ft une banque de donn^es, d un syst^me 1nformat1s4, d 
une Ugne t^Uphonlque^ etc.), EUe s'appUque «galement d la 
verification de I'authentlclte de messages de toute nature^ ces 
messages pouvant commander une ouverture ou une fermeture^ 
I'enclenchement ou l»arr§t d'un syst^me, la commande de la mise ft 
feu d'un engln^ la commande d»un satellite, le d^clenchement 
d'une alerte etc... Enfin, IMnventlon permet de signer des 
messages de telle maniere que leurs destlnatalres soient assures 
de leur provenance^ et puissent ft leur tour cohvalncre un tiers 
sur cette provenance. 

LMnventlon s'appuye sur deux branches de la 
cryptographle qui sont respect Ivement la cryptographle ft cU 
reveUe (ou ft cle publlque) et les procedures de verification ft 
apport nul de connalssance. 6len que IMnvention ne concerne pas 
un procede de chlffrement, 11 n'est pas Inutile de rappeler en 
quol consistent ces deux techniques. 

De tout temps le malntlen du secret des communications 
a ete une preoccupation. Aujourd^hul que les systftmes de 
telecommunications proUfftrent, 11 est devenu un problftme majeur. 
De ce fait, les techniques de chlffrement et de dechlf f rement ont 
progresse considerablement ces dernieres ann^es. Ce progrfes a 
d'allleurs ete encore acceUre par I'avenement des calculateurs. 
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qui ont permis d'^laborer des cryptosyst^mes A haut«s 
performances. 

Dans un cryptosyst^me, un message dit message en 
clair^ est transform^ & Uaide d*une cU E, pour donner un 

5 message dit message chiffr*. A la cL4 E correspond une cU 
Inverse D qui permet de retrouver le message en clair par une 
transformation Inverse ; l>(E(n))sn. 

Dans ies techniques tradltlonnelles les deux cUs E et 
0 sont tenues secretes et ne sont connues que des seuls 

10 Interlocuteurs. 

Cependant^ un crypt osyst^me original a M developp^ 
ces dernUres ann^es, dans lequel la cl* de chlffrement n'est 
plus tenue secrete nals est^ au contraire, r^v^l^e. 
Pa radoxa lament, cette r^v^latlon n'affalbllt en rien la s^curlt^ 

15 du syst^me. En effet, 11 se trouve que le chlffrement utilise une 
fonction telle que la connaissance de la cU E ne permet paS/ 
dans la pratique, de retrouver la cU D de d^chif f rement. On 
parle elors, de mani^re Imag^e, d'une fonction "trappe" pour la 
fonction de chlffrement, fonction qui est partlcuU^rement 

20 difficile d Inverser, sauf pour celul qui connalt la valeur de la 
trappe. 

Les principes g^n^raux de ces syst^mes ont ^t^ decrits 
dans I 'article de DIFFIE et M. HELLMANN intitule "New 

Directions in Cryptography" public dans IEEE, Transactions ou 
25 Information Theory, vol. IT-22, pp 64A-654, Nov. 1976. 

On peut aussi' consulter k ce sujet I 'article de K. 
HELLMAN intitule "The Mathematics of Public-Key Cryptography" 
public dans Scientific American d'AoQt 1979, voL.2A1^ n^2, pp 
130-139 ou sa traduction fran^aise dans I'idition de "Pour la 
30 Science" sous le titre "Les Hath^matlques de la Cryptographie d 
clef r^v^We", Octobre 1979, vol. n®24, pp 114-123. 

Les principes th^orlques de la cryptographie 6 cU 
r^v4Ue ont pu §tre mis en application de mani^re 
particuli^rement efficace dans un syst^me dit RSA (des initialcs 
35 de ses inventeurs Ronald RIVEST - Adi SHAMIR et Leonard ADLEMAN), 
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Ce systime est d*erit dans I'artlcle de Bartin GARDNER intitul* 
"A new kind of cipher that would take «ilMons of year to break" 
pubU6 dans Scientific American, AoOt 1977, pp. 120-121. Dans le 
systfeme RSA la fonctlon trappe est la factorisation d'un nombre 
en iUments premiers. On salt que I 'operation de factorisation 
est I'une des plus difflelles de I'arithmitique. Par exemple pour 
trouver, « la main, les facteurs premiers d'un nombre aiodeste « 5 
ehlffres coome 29 083, 11 faut quelques ninutes. Ces nonbres sont 
127 et 229. Hals I'obtentlon du prodult de 127 par 229 ne prend 
que quelques secondes. L'asyiB*tr1e d'une telle operation est done 
flagrante. Naturellement, le recours i un ordinateur acc«l«re la 
factorisation nais 11 demeure que, pour factoriser un nombre de 
deux cents ehlffres, neme en nettant ensemble les ordinateurs les 
plus puissants ordinateurs. 

En pratique done, en ne salt pas factoriser un trfts 
grand nombre. 

Ces propri«t«s sont exploit^es dans le systfeme RSA de 
la naniire suivante. On cholsit deux nombres premiers distincts, 
soit a et b, et on en forme le prodult, solt N»a.b. On choisit 
*flalement un entler p, qui est premier avec le plus petit conmun 
multiple de (a-1) et (b-1). Pour chiffrer un message, 
pr6alablement mis sous forme num^rique M, « *tant compris entre 0 
et N-1, on calcule la puissance pifene de K dans I'anneau des 
entiers modulo N, solt Csm" nod N. (On rappelle que la valeur 
d'un entler x modulo un entler y est «gale au reste de la 
division de x par y ; ainsi, 27 modulo 11 est 6gal i 5, car 27 
divis# par 11 donne 5 comme reste). La fonction "Clever h la 
puissance p modulo H" d^finlt alops une permutation des entiers 
de 0 & N-1. 

Pour d6ch1ffrer un message tel que C 11 faut extraire 
la racine pitoe du message ch1ffr6 C dans I'anneau des entiers 
modulo N. On montre que eette operation revlent i «lever le 
nombre C 6 la puissance d, d *tant I 'inverse de I'exposant p 
modulo le plus petit commun multiple des nombres (a-1) et (b-1). 
Si I'on ne connait pas les facteurs premiers a et b, la 
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d«ter»inBtion de d est Impossible et avec elle^ l*op*ration de 
d^chiff rement. 

Par exemple^ en choisissant a=47 et b=59^ on obtvent 
N=«7. 59=2773. On peut prendre p=17. La cU de codage est done 
5 d4fin1e par les deux nombres 2773 et 17 (natural Lenient^ dans la 
pratique, les nombres utilises sont beaucoup plus grands que dans 
cet exemple). 

Le codage d'un mot 91 se pr6sentant sous forme du nombre 
920 s'effectue par I'op^ratlon sulvante : 
10 C c 920^ mod 2773 

solt C » 948 mod 2773. 

Inversement, pour d*ch1ffrer le nombre 948, on 
utlUsera un exposant d Inverse de 17 modulo 1334 qui est le ppcm 
de 46 et 58. Cet exposant d est 157 car 157.17=2669 solt 1 modulo 
15 1334. D^chlffrer 948 revlent done h calculer 948^^^ mod 2773 solt 
920, ce qui est bien le message Initial. 

Ainsi, dans le syst^me RSA, les nombres N et p peuvent 
lis «tre publics (on parle alors de la "puissance publlque p"), 
mals les nombres a et b dolvent rester secrets. 
20 Nature I lement, 11 est toujours possible d'utlUser plus 

de deux facteurs premiers pour constltuer le nombre N. 

Le syst^me RSA est d^crlt dans le brevet des Etats-Unis 
d'Am^rique n«>4,405,829 d^Uvr* le 20 Septembre 1983. 

Un tel systferoe peut non seulement servir d chiffrer 
25 mais aussi h signer un message. 

Dans le contexte de la signature de messages une entity 
cens^e ^mettre des messages M, entity appel^e signataire, est 
r^put^e travalller avec une cU publlque (N, p). Cette entity, 
pour signer ses messages avant Emission, y ajoute une redondance 
30 pour obtenir un ^Ument de l*anneau des entlers modulo N, puis 
<l*ve cet 4Ument & la puissance d (Inverse de p) modulo N. 
L*ent1t^ en question, d^tenant les param^tres secrets de la cl^ 
publlque, c'est-S-d1re les deux facteurs premiers a et b, connalt 
d. Le message sign^ est done S= ^Red(M)^ mod N. 
35 verifier la signature, le destinataire du message 
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utilise la cl* pubUque (N, p) attach4e « I'entiM tmettriee et 

P 

calcule S md ce qui^ par hypothfcsc redonne l*6Ument codant 
le nessage H avec sa redondance. En retrouvant la redondance ie 
destlnatalre en conclut einsi que le message n'a pu Itre envoys 

.5 que par l^entit* qui pretend I'avoir fait^ puisque seule, celle-* 
*tait capable de traiter le message de cette maniire. 

Naturellement, les deux operations de chiff reroent ct de 
signature peuvent se combiner. Dans ce cas, P^metteur commence 
par signer son message en utilisant sa cU secrete ; puis il le 

10 chiffre en utilisant la cU publique de son correspondent. A la 
reception^ le correspondent d^chiffre le message & I'aide de sa 
cl6 secrete, puis authentifie le message en utilisant la cU 
publique de I'^metteur. 

Ces techniques de cryptographic conduisent ainsi d des 

15 m^thodes d'authentification (d'un support^ d*un message, etc.). 
Pour exposer plus en detail cet aspect, qui est au coeur de 
IMnvention, on prendre comme exemple I'authentif ication des 
cartes bancaires dites "a puce", sans que cela const itue 
naturellement en quoi que ce soit une limitation de la port^e de 

20 ^invention. Le procWe di&crit ci-apr^s est utilise dans les 
cartes bancaires S puce 4mises aujourd'hui en France et en 
Norv^ge, la generalisation des puces dans les cartes bancaires 
est en cours dans ces deux pays. 

Une carte bancaire S puce possWe une identity, qui est 

25 constitute par un encha^nement d'informations telles que le 
numero de strie de la puce, le numtro du compte bancaire, une 
periode de validity et un code d'usage. La carte peut donner, sur 
demande, ces informations d'identite, qui se prtsentent sous 
forme d'une suite de bits formant un mot I. 

30 A I 'aide de regies de redondance, on peut const it uer un 

nombrc J deux fois plus long que I qu'on notera par la suite 
RedCDsJ. Par exemple, si Le norobre 1 s^tcrit sous forme de 
quartets, chaque quartet peut §tre complete par un quartet de 
redondance de maniere h former autant d'octets de type d codage 

35 de HAMKING. Le nombre J est appeie souvent IMdentite "ombragee" 
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(I 'ombre itant constitute en quelque sorte par la redondance qui 
accompagne IMdentltt). 

L^Organisation Internationale de Normalisation (ISO) a 
precis* ces questions dans la note ISO/TC97/SC20/N207 intituUe 
5 "Digital Signature with Shadow" devenue avant projet de norme 
0P9796. 

L*autorit6 habilit«e h dtlivrer de telles cartes, en 
I'occurrence la banque, choisit un systtme A cU publique CN, p). 
Elle publie les nombres N et p mais garde secrete la 

10 factorisation de N. LMdentitt ombragte J de chaque carte est 
alors considtrte comme un fitment de I'anneau des entiers modulo 
N. La banque peut en extraire la racine p itroe dans cet anneau 
<ce qui, comme expos* plus haut, ntcessite la connaissance'des 
facteurs premiers de H, ce qui est le cas). Ce nombre, not* par 

15 la suite A, est en quelle que sorte l*identit* de la carte sign*e 
par la banque. On I'appelle ••accr*d1tation". On a done par 
definition A«J^^^ mod N. 

Authentifier une accreditation revient alors i lire 
lMdentit4 de la carte, soit sous la forme simple I, soit sous la 

20 forme ombragte J, puis i lire I'accreditation A dans la carte, 6 
* lever celle-ci i la puissance p dans I 'anneau des entiers modulo 
N (ce qui est possible puisque les param^tres N et p sont connus) 
et ^ comparer enfin le rtsultat, soit A*^ mod N, h J. Si A^mod N 
est egal a J alors I'accrtditation A est authentique. 

25 cette mdthode permet de dttecter des fausses cartes 

dont les identitts auraient *t* eiabortes de manifere fantaisiste, 
elle prtsente ntanmoins un inconvenient qui est celui de reveler 
I •accreditation des cartes authentiques. Un verificateur peu 
scrupuleux pourrait done reproduire des cartes identiques d celle 

30 quMl vicnt de verifier (cartes que Uon pourrait appeler des 
"clones") cn reproduisant I'accreditation qu'il a lue dans la 
carte authentique. 

Or, I'authentification d'une accreditation ne requiert 
pas, en toute rigueur, la communication de celle-ci au 

35 verificateur, mais seulement I'etablissement d'une conviction que 
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la carte dispose d'une accreditation authentlque. Le probl^me est 
done flnalement de d^montrer que la carte d^tient une 
accreditation authentlque, sans r^v^ler celle-ci. 

Ce probieme, qui semble Insoluble A premiere vue, peut 

5 cependant §tre r^solu par une procedure dite de preuve par apport 
nul de connaissance ("zero-knowledge proof"). Dans une telle 
procedure, l'entit4 qui tente d*apporter la preuve (et que I ■on 
appellera par la suite le *Verifie'*> et l*entite qui attend cette 
preuve Cet qu'on appellera le •'vdrif icateur") adoptent un 

10 comportement interactif et probabiliste. 

Cette technique h €U d^crite par Shafi GOLDWASSER, 
Silvio MlCALl et Charles RACKOFF dans leur communication au "17th 
ACM Symposium on Theory of Computing" qui s^est tenu en Hai 1985, 
communication intituUe "The Knowledge Complexity of Interactive 

15 Proof Systems" et publi^e dans les Comptes Rendus pp.291-304. Les 
premiers exemples ont M trouv^s en th^orie des graphes. 

Adi SHAMIR a pens^ le premier & utiliser ce proc^d^ en 
th^orie des nombres et on pourrait I'appliquer aux cartes A puces 
de la maniire suivante. Ce proc^de, que I'on appellera par la 

20 suite procide S, est le suivant. 

Au debut de la transaction d*authentif ication, la carte 
proclame son identite I. Les regies de redondance connues de 
tous, permettent de deduire J, deux fois plus long que 1, qui 
correspond h I' identity ombragee. La carte et le v^rificateur 

25 connaissent tous deux les nombres N et p publics par l^imetteur 
de cartes, mais seul ce dernier dispose de la factorisation du 
nombre H, qui est l*information de trappe utilisee pour calculer 
les accreditations. 

La transaction d'authentif ication se poursuit en 

30 repetant le traitement suivant : 

- la carte tire au hasard un element r de Uanneau des 
entiers modulo N, en calcule la puissance p ieme (r** mod N) dans 
I'anneau, et transmet cette puissance au verificateur en guise de 
titre T pour I'iteration ; 

35 - le verificateur tire au hasard un bit d (0 ou 1) <ou 
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si I'on veut, tire h pile ou face) pour demander h la carte en 
guise de t^moln t : pour pile I'^Ument r, et pour face le 
prodult de Uiliment r par Paccr*d1t1on dans l»anneau (r.A nod 
N) ; autrenent dit, dans IMncertltude du tirage le v^rlfl^ dolt 
5 tenir disponlble r et r.A nod N ce qui Inpllque la connalssance 
de A ; 

• le v^rlflcateur «l«ve le t*mo1n t h la puissance p 

nodulo N pour retrouver : pour pile, Le test et pour face le 

prodult dans Panneau du titre T par LMdentlt^ onbragie J. 

10 Ainsi, d*une part, 11 faut disposer de l*accr^ditat1on 

A pour poss^der slmultandment les deux valeurs possibles du 

t^moln t, solt r et rA. 0*autre part, le v^rlfU ne peut d^dulre 

de cette transaction la valeur A de l*accr6d1tat1on car, mime 

sMl demande au v^rlfl* de lul fournir rA, 11 ne connalt pas r, 

15 qui a M t1r« au hasard par le v6r1f1« Cle v^rlflcateur connalt 
P * 

bien r , fourni comme titre par le v^rlfl*, mals 11 est Incapable 
d'en extralre la raclne p l^me modulo N, pu1squ*1l ne connalt pas 
la factorisation de N). 

te v^rlfl^ qui ne seralt pas d^tenteur d'une 

20 accreditation authentlque pourralt bluffer en tentant de devlner 
le tirage du v^rlf Icateur. S'll parle sur "0" ("pile") 11 estlme 
que le v^rlflcateur ^Uvera le titre S la puissance p modulo N et 
que le v^riflcateur comparers le r^sultat obtenu au titre T. Pour 
convaincre le v6r1f Icateur, le v^rlfl^ devra fournir comme titre 

25 T le t^moln £Lev6 h la puissance p. SI le bluff eur parie au 
contraire sur "1" ("face") 11 estlme que le v^rlflcateur eUvera 
le titre & la puissance p et multlpllera ensulte le r^sultat 
obtenu par J. II lul faut donc^ pour convaincre, transmettre 
comme titre T, le t^moin ^lev^ 6 la puissance p multlpU^ par J» 

30 Autrement dit, le v^rifl^ a une chance sur deux de 

donner une bonne r^ponse s'll renverse la chronoLogle des 
iv^nements, c'est-6-dire sMl determine non pas d'abord le titre 
T puis le t^moln t, mals sMl parle sur le tirage du v^rlflcateur 
et sML constltue le titre a posteriori & I'aide d'un t^rooln t1r6 

35 au hasard. 
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Dans ce processus probablliste, les chances du v6rifi6 
de devlner la bonne r^ponse sont de une sur deux & cheque 
traUement^ de sorte qu»en r^gitant ce traitemcnt k fols^ les 
chances du bluff eur tombent ^ 1/2 • Le facteur de s^curit^ de ce 

5 procW* d'authentification est done de 2*^. En pratique^ k est de 
l*ordre de 16 h 24. 

Dans un tel proc«d« le nombte p est petit^ par exemple 
3. On peut aussi utUlser 2, na^s dans ce cas certalnes 
precautions doivent §tre prises dans le choix des facteurs 

10 premiers du nombre N pour que la fonctlon "Clever au carr* modulo 
N" soit une permutation sur les r^sldus quadratlques de I'anneau 
des entlers modulo N. Les nombres a et b doivent Ctre des entiers 
de la forme Ax+3 ; on rappelle que les r*sidus quadratlques sont 
des iUments qui sont des carr6s dans Panneau et IMdentlt* 

15 ombrag4e J doit pouvoir fitre modifiie en un r^sldu quadratlque 
repr^sentatif avant de calculer ^accreditation. Cette solution 
est decrite dans le document diih cite 1S0/TC97/SC20/N207. 
D*autres solutions existent cependant. 

L'entier N, comme dans les cartes bancaires 

20 aujourd'huv peut fttre de la forme N=K+2 oO K est un entier de 
240 bits publie et connu de tous les terminaux. Seul I'emetteur 
de cartes dispose de la factorisation de N. 11 est tout de mSme 
conseiUe de prendre des nombres composes plus grand. 

LMdentlte 1, comme dans les cartes bancaires 

25 aujourd^hui, peut itre un motif de 160 bits, obtenu par le 
chalnagc d'un numero de s^rie de la puce de 44 bits, d'un numero 
de compte bancaire de 76 bits, d'un code d'usage de 8 bits et 
d'une periode de validite de 32 bits. LMdentite ombragee 
presente alors 320 bits. L'accreditation est alors la racine 

30 cubique de ce mot, modulo N. C»est un nombre de 320 bits. 

Un perfectlonnement de cette technique conslste d 

utlUser non pas I'accredltatlon elle-mSme A (A^mod N=J) mais son 

P 

inverse, note B. On a alors B J mod N=1 ce qui permet de 
simplifier la comparaison du titre et du temoin. En effet, il 
35 suffit alors de transmettre un temoin egal e r(dB-d+1) (qui est 
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«g8l solt 4 r si d=0 soit h vB si d=1 et de calculer t (dJ-d+1) 
nod N pour trouver le litre T. Ce dernier peut alcrs n»*tre 
transmis que partiellenient^ par exemple sous forme d^une centaine 
dc ses bits ou encore nieux apris une compression par une 

5 fonction h sens unique. 

On rappelle qu*une fonction de compression fait 
correspondre h un ensemble de n «l«ments un ensemble de m autres 
*Uments^ m *tant inf^rieur A n et tel quMl sont pratiquement 
impossible de localiser deux ^l^ments ayant mtme image. 

10 La figure 1 annex6e h la description illustre ce 

proc^d^. Les fUches allant de gauche d droite repr^sentent une 
transmission du v*rifi^ vers le v6rificateur (identity I, titre 
T, t^moin t) et les fUches allant de droite h gauche une 
transmission dans le sens inverse Cbit d tir^ au hasard). Un 

15 tirage au hasard est represent* par un cercle associ^ d un point 
d' interrogation. Le signe € signifie "appartient 6" et les 
nombres entre accolades d§signent I "ensemble des entiers compris 
entre les deux bornes indiqu^es^ bornes comprises. La comparaison 
finale d^cidant de l*authenticit6 de l*accr^ditation est 

20 sch^matisie par un signe «gal surmont^ d'un point 
d* interrogation. Le tiret# marque un ensemble d*op6rations 
effectu6es k fois (iteration). 

21 a (§t4 propose r^cemment un proc6d§ encore plus 
perfectionn^^ qui utilise des accreditations multiples. Ce 

25 proc6d6 a d^crit dans la communication de Amos FIAT et Adi 
SHAMIR^ publi^e dans le Compte Rendu de CRYPTO* 86, Santa 
Barbara, CA, USA^ August 1986, communication intitule : "How to 
Prove Yourself : Practical Solutions to Identification and 
Signature Problems", Springer Verlag, lecture Notes in Computer 

30 Science, N0263, pp. 186-194. 

En notant dans la carte plusieurs accreditations, on 
augmente I'efficacite du traitement, et on r^duit le nombre 
d' iterations n^cessaires pour atteindre un niveau donne de 
security vis-6-vis de la chance laiss^e au bluffeur. Dans cette 

35 methode de diversification, on produit n identit^s diversifiees 
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11^ ...^ In qui, compulses par leups ombres, donnent n identit^s 
d1vers1fi4es ombrag^es J1, Jn. La carte contlent les n 

accreditations inverses B1, Bn qui v^riflent les relations 
Ji.Bi^ nod K=1. 

Oans ce proc^d^, que I'on notera FS, cheque traltement 
ou Iteration devlent alors le sulvant (en prenant 2 pour exposant 
public) : 

- la carte tire au hasard un ^Unent r dans I'anneau 
des entiers modulo puis transmet au v^rlf Icateur 128 bits du 
carr^ de cet ^Ument en guide de titre T ; 

- le v^rlflcateur tire au hasard un mot de n bits solt 
b1, bn, quMl transmet h la carte ; 

- la carte calcule alors le prodult de I'^Ument r par 
les accreditations Inverses designees par les bits k "1" dans le 
mots de n bits b1^ bn, Et la carte transmet en guise de 
temoin la valeur t ainsi obtenue : 

t=r.<b1.B1-b1+1). ... .(bn.Bn-bn+1) mod N 

- le v6r1f1cateur teste ce t^moln t en Ueievant au 
carr* dans I'anneau, puis en multlpUant ce carr^ par les 
Identites ombrag^es dlverslfl^es designees par les bits h "1" du 
mot de n bits, 

p 

soit : t .<b1.J1-b1+1) (bn.Jn-bn+1) mod N 

L'authenticlte est prouv^e si l»on retrouve les bits 
publics du titre T. 

N'iinporte qui pourralt tirer au hasard un t^moln t, 
puis, dans I'anneau, Clever au carrd ce titre et multiplier par 
une selection d'identites diversifiees pour const ituer apr^s coup 
un titre T. En cffet, en donnant ce titre au debut du traitement, 
si la question pos^e est blen la selection escomptee, alors le 
temoln t est une reponse acceptable qui authentlfle la carte. 

II y a done bien une stategle gagnante pour le devin 
qui connalt S Mavance le tirage du verif icateur. 

Pour passer avec succes une iteration, le bluffeur 
dolt, cette fois, deviner un mot de n bits et non plus un seuL 
bit comme dans le procede 6MR. SI les 2" valeurs sont 
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^qulprobables, le prodult de la multiplicity de^s accreditations 
(n) par le nombre des iterations (k) rMult exponential lement les 
chances lalss^es au bluffeur» Le facteur de sicurlti de la 
transaction d'authentif ication est alors 2^'^. 

5 A cheque iteration^ le verifU transmet par exempLe 128 

bits (par exenple un quart des 512 bits) et un eUment de 
Panneau, et le viriflcateur transmet n bits. A cheque Iteration, 
le v6r1f1cateur et la carte calculent un carr^ et font un nombre 
de multiplications ^gal au nombre de bits A "1** dans le mot de n 

10 bits (poids de HAMMING) • 

Comme autre compromis entre efficacite de lMt6ration 
et nombre maximum de multiplications A effectuer durant 
I 'Iteration on peut Umiter le nombre de bits £ 1 dans le mot de 
n bits. 

15 On pourra consulter h propos de cette technique, le 

compte rendu de La communication de Amos FIAT et Adi SHAMIR au 
"5e Congres Mondial de la Protection et de la security 
. Informatique et des Communications" qui s*est tenu h Paris les 4- 
6 Mars 1987 sous le titre "Unforgeable Proofs of Identity". 

20 La figure 2 annex^e illustre schematiquement ce proc^de 

FS, avec les m§roes conventions que pour la figure 1. 

Ces procedes d'authentif ication d'accreditation peuvent 
se transposer aisement h I'authentif ication d*un message emis par 
une* entite cens^e Ctre accreditee. Dans ce cas, le titre T 

25 transmis par te verifie n»est plus forme uniquement par r^ mod 

comme dans le cas precedent, mais aussi par Le message m h 

authentif ier. Plus precisement, le resultat par une fonction de 

p 

compression, notee f, dont les arguments sont m et r mod N. 

Les figures 3 et 4 schematisent ces precedes dans le 
30 cas des techniques S et FS. 

Enfin, ces techniques peuvent egalement servir A signer 
un message. La fonction de compression Joue alors le rfile assigne 
au tirage du verif icateur. Plus precisement, dans le precede de 
type S, le signataire tire k elements r dans L'anneau des entiers 
35 modulo H, soit r1, r2, rk, qui vont jouer le rfile des 
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dif«rents r tir^s au cours des k iterations. Le signataire 4Uve 
ces entiers au carr4 mod N et calcuLe la fonction de compression 
f (m^ r mod rk mod N) ce qui fournit un nombre D ayant 

pour bits d1/ 62^ dk. Chaque bit di de ce nombre joue le 

5 rftle que jouait le bit tir* au hasard dans le proc^d^ 
d'authentification d'accrMitation d6crit plus haut. Le 
signataire forme alors k titres ti^riB^^ mod avec 1*1,2.. .k. 
Le message sign^ est alors constitu^ par un multiplet form6 par 
1# d1, dk, t^, tk. 

10 Pour verifier un tel message sign* on «Uve au carr* 

les titres ti modulo N et on multiplie chaque carr* par J*^^ 

modulo N. On calcule ensuite la fonction de compression f (m, 

2 fli 2 dk 

t1 J mod tk J mod N) et I'on compare le r^sultat 

obtenu avec le nombre 0, soit avec les bits d1, d2, dk. 

15 «>ans I'application h la signature de messages, le 

nombre k est plus grand que dans I'authentif ication. II est de 
I'ordre de 60 d 80. En effet, la verification ne s'effectue plus * 
en temps r^el et le f raudeur a done tout son temps pour ^laborer 
une fausse signature. 

20 Les figures 5 et 6 sch6matisent ce proc^d* dans le cas 

des techniques S et FS. Si toutes ces techniques de I'art 
anterieur conviennent bien en th^orie, elles pr^sentent cependant 
des inconv^nients du point de vue pratique. En particulier, la 
methode FS, avec la multiplicity de ses accreditations, consomme 

25 un espace memoire important. Par ailleurs, la necessity 
d'effectuer une repetition des traitements allonge la duree des 
echanges. Enfin, la multiplicite des temoins allonge les 
informations a ajouter e un message pour le signer. 

La presente invention a justement pour but de remedier 

30 4 cet inconvenient. A cette fin elle preconise une technique 
utilisant une seule accreditation (et non plus des accreditations 
multiples) et un seul traitement (et non plus une repetition de 
traitements). 

De fapon plus precise, la presente invention a d'abord 
35 pour objets un procede d^authentif ication d'une accreditation et 
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un proc6di d'authentif Icatlon €l*un message, proc^d^s qui mettent 
tous deux en oeuvre, d*une part, l**laborat1on d*une 
accreditation basie sur le systfeme h cU publique et, d'autre 
part/ une preuve k apport nul de connaissance ; 
5 a) pour ce qui est de Pop^ration d'eiaboration de 

l*accrMitat1on, elle comprend les operations connues 
suivantes : 

- une autorite habiHt6e h d*l1vrer des accreditations 
choisit deux nombres premiers, forme le produit (N) de ces 

10 deux nombres, ticnt secrets ces nombres qui constituent alors 

les facteurs premiers de N, choisit un entier p et publie H et 

p; 

- pour cheque detenteur d'une accreditation, une 
Identite numerique I est constituee, puis compietee par 

15 redondance pour former un mot J appeie identite ombrasee, 

- une accreditation A est eiaboree par Pautorite en 
prenant la racine pieme de IMdentite ombragee dans I'anneau 
des entiers modulo N, (A*^ mod N«J), 

- dans un support approprie contenant une memoire, 

20 l^autorite charge IMnverse modulo N de I'accreditation A, 

soit un nombre B appeie accreditation inverse <b"j mod N«1), 
ce nombre B constituent I'accreditation quMl s'agit 
d'authentif icr ; 

b) pour ce qui est de I'authentif ication de ^accreditation ainsi 
25 eiaboree, cette operation consiste, de maniere elle aussi 

connue, en un processus numerique interactif et probabiliste 
du type h apport nul de connaissance et s'etablissant entre un 
support contenant une accreditation, support appeie "le 
verifie" et un organe d'authentif ication appeie "le 
30 verificateur", ce processus coroprenant au moins un traitement 

numerique constitue par les operations connues suivantes : 

- le verifie tire d'abord au hasard un entier r 
appartenant & I'anneau des entiers modulo N, 

- le verifie eUve cet entier r d la puissance p modulo 
35 N, le resultat etant appeie titre T, 
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• le v^rifii diLlvre alors au moins une partle des bits 
du titre 

- le v^rlficateur tire ensulte au hasard un nombre D 

et demande au virlfi^ d'effectuer certaines operations sur r 
5 et sur ^accreditation Inverse ces operations etant Uees 

au nombre D tire au hasard par Le verlflcateur et effectuees 
dans l*anneau des entlers nodulo N, 

- le verlfie deilvre au verlflcateur un nombre t^ 
appeie temoln, resultat de ces operations^ 

10 - le verlflcateur effectue & son tour des operations 

portant sur le temoln t deUvre par le verlfie et sur 
IMdentlte ombragee J du verlfie^ operations uees elles aussi 
au nombre 0 tire au hasard par le verlflcateur et effectuees 
dans l*anneau des entlers modulo 

15 - le verlflcateur compare le resultat ainsi obtenu 

avec les bits du titre T que le verlfie a deUvre en debut de 
processus de verification^ et admet I'authentlclte de 
I 'accreditation s"1l retrouve ces bits. 

Le procede d'authentlfi cation d'accredltatlon selon 

20 I'invention est caracterlse par le fait que : 

a) lors de ^elaboration de I'accredltatlon (B> le nombre p 
servant d extraire la raclne p leme de I'identlte ombragee (J) 
est cholsl grand et comprend au molns une dizalne de bits, 

b) pour I'authentlflcatlon de I 'accreditation le processus ne ' 
25 comprend qu'un seul traltement Interactif et probablliste (et 

non une repetition d'un tel traltement), ce traltement unique 
consistent dans les operations suivantes : 

• le nombre que le verlflcateur tire au hasard est un 
entler D comprls entre 0 et p-1 (bornes Incluses), 

30 - I 'operation que le verlfie effectue pour deUvrer un 

temoin t est le produit, dans I'anneau des entlers modulo H, 
de I 'element r qu'il a lui mSme tire au hasard, par La 
puissance Dieme de I 'accreditation Inverse B, le titre etant 
alors t=r.B mod 

35 - les operations qu' effectue le verlflcateur sont le 
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produit, dans Panneau des entlers modulo de la puissance p 

l^me du t^noln t par la puissance D Itoe de l*1dent1t« 
P D 

ombrag^e «l, solt t J mod N, 

- I •operation de comparalson ef feature per le 

5 v^rlflcateur porte alors sur les bits du titre T d^llvr^s par 

le v^rlfl^ et sur les bits obtenus par I'op^ratlon pr^c^dente, 
I 'authenticity de raccr^dltatlon *t8nt acqulse en un seul 
traltement d^s lors que tous les bits du titre d^Uvr^ par le 
v*r1f1* sont retrouv*s par le v6r1f1cateur dans t^ mod N. 
10 Pour ce qui est du procW# d'authentif Icatlon de 

message^ le procW6 selon I 'Invention est caract6r1s4 par le fait 
que : 

a) lors de I'^laboratlon de I'accrWItatlon du donneur d'ordre^ 
le nombre p servant h extraire la raclne p Itme de I 'Identity 

15 ombrag^e est cholsl grand et comprend au molns une dizalne de 

bits, 

b) pour I'authentif Icatlon du message, le processus ne comprend 
qu'un seul traltement Interactif et probabiliste (et non une 
r*p6t1t1on d'un tel traltement)^ ce traltement unique 

20 conslstant dans les operations sulvantes : 

- le nombre que. le v^rlflcateur tire au hasard est un 
entler D comprls entre 0 et p-1 (bornes Incluses)/ 

• I 'operation que le v^rlfi^ effectue pour d^Uvrer le 
t^moin t est le produit/ dans I'anneau des entlers modulo N, 
25 I'dl^ment r qu'll a lul m§me tlr*, par la puissance Di^me 

de I'accr^dltatlon Inverse le t^moln ^tant alors r.B^ mod 

- les operations qu'effectue le v^rlficateur sont le 
produit, dans I'anneau des entlers modulo de la puissance p 

30 ieme du t^moin t, par la puissance D Ume de I'identlte 

ombrag^e J, 

- le v^rlflcateur forme la fonctlon de compression du 
message et du risultat des operations pr^cedentes solt f<m, t*^ 
J mod N), 

35 - la comparalson que le v^rlflcateur effectue porte 
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Blors sur La fonction de compression qu Ml a obtenue et sur le 
titre T que le virifi* lul a diUvr^ en d^but de processus de 
verification, I'authenticit^ du message 4tant acquise en un 
seul traitement 6ks lors que, h la fin de ce traiteroent, il y 
a corre$pondance entre tous les bits de la fonction de 
compression obtenue par le v6rificateur et les bits du titre 
deiivr^s par le v^rifi^. 

L« invention a enfin pour objet un procW* de signature 
de fnessaoe. Dans ce cas PaccrWitation du signataire est 
*laboree selon le proc^dd connu h cU publique ddcrit plus haut 
et la signature consiste en un traitement num^rique probabiliste 
connu coff.prenant les operations suivantes : 

- le signataire tire au hasards au moins un entier r 
appartenant d I'anneau des entieit modulo 

- le signataire eUve cet entlir r b U puissance p 

modulo 

- le signataire calcule une fonction de compression f 

en prenant comma arguments le message m d signer et la 
D 

puissance r mod K obtenue, 

- le signataire forme au moins un t#moin t en 
effectuant certaines operations sur r et sur ^accreditation 
inverse B, ces operations etant liees au nombre D tire au 
hasard et etant effectuees dans I'anneau des entiers modulo N, 

- le signataire transmet le message m, son identite 1, 
le mot D, le ou les temoins t, I 'ensemble constituant un 
message signe. 

Le precede de signature de message selon I 'invention 
est caracterise par le fait que : 

a) lors de I'eiaboration de ^accreditation du signataire le 
nombre p servant h extraire la racine p ieroe de I'identite 
ombragee est choisi grand et comprend plusieurs dizaines de 
bits, 

b) pour I'operation de signature du message : 

• le signataire ne tire au hasard qu'un seul er.tier r 
appartenant h I'anneau des entiers modulo N, 
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la fonctlon de compression a pour arguments le 
message m et la puissance p i^me de r, ce qui fournlt un 
nombre 

- le titre unique prodult par le signataire est le 

5 prodult, dans l*anneau des entlers modulo H, de l*ent1er r par 

la puissance D l^me de ^accreditation Inverse B, 

- le signataire fournlt, avec le message son 
Identit* 1, le mot 0 et le titre t» 

Dans les deux premiers procW^s, le nombre p comprend 
10 «u moins 10 bits et de preference entre 16 et 24 bits. 

Dans le proc^de de signature le nombre p est plus grand 
et comprend plusleurs dizalnes de bits, par exemple de 60 e 80 
bits. 

La valeur de p est en effet le facteur de security d'un 
15 traltement element aire. SI p est convenable pour le but recherche 
alors qu'on ne dispose que d'une seule accreditation profonde, on 
peut se contenter d*un seul traltement. 

De toute fagon IMnventlon sera mieux comprise h la 
lumiere de la description qui va sulvre, qui se refire i des 
20 desslns annexes. Ces desslns comprennent : 

- les figures 1 S 6, dej6 decrltes, qui lllustrent les 
procedes S et FS de Part anterleur ; 

- la figure 7 11 lustre le precede d'authentif Icatlon 
d'une accreditation selon IMnventlon ; 

25 • le figure 8 lllustre le procede d'authentif Icatlon de 

message selon IMnventlon ; 

- la figure 9 lllustre le procede de signature de 
message selon I 'Invention ; 

- la figure 10 montre schematlquement un ensemble 
30 permettant de mettre en oeuvre les procedes de U Invention. 

Les conventions uti Usees dans les figures 7^9 sont 
les mimes que celles des figures 16 6. Dans tous les cas 
I'accreditation est obtenue par I 'utilisation d'un nombre p qui 
est grand. Les Inventeurs quallfient cette accreditation de 
35 "profonde" par opposition aux accreditations habituelles 
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utUls^es dans ce domaine pour lesquelles p «tait de l*ordre de 2 
ou 3 et qui sont, en quelque sorte "superficlelles*'.. 

Dans le cas des cartes k puce on a done, dans le cas de 
l^invention^ le traltement suivant ; 
5 - la carte tire au hasard un ^Ument r (1<r<N-1) dans 

I'anneau des entiers modulo et donne en 9uise de titre T 128 
bits de la puissance publique de cet *l*inent Cr** mod N) ; 

- le v^rificateur tire au hasard un exposant D de 0 & 
p-1 et le transmet d la carte ; 

• la carte calcule le t^moin t qui est le produit (dans 
I'anneau) de P^Ument r par la puissance D i6me de 
I'accrWitation B (t«r.B^ mod N) ; 

- le v^rificateur calcule dans Uanneau le produit de 
la puissance p i^me du t^rooin t par la puissance D i^me de 

15 I'identit* ombrag^e J, soit t^.J^ mod N. 

La preuve est accept^e si tous les bits publics du 
titre T sont ainsi retrouv4s. 

N'iniporte qui ayant devin^ la question du v^rificateur 
(lexposant D) peut tirer au hasard un t^moin t, puis faire h 

20 revance les calculs du v^rif icateur, c'est-6-dire faire le 
produit dans I'anneau du temoin t a I'exposant p par I'identit^ 
ombrag^e J b I'exposant D. En donnant le titre T au d^but de 
IMt^ration, si la question pos^e est bien alors le temoin t 
est une r^ponse acceptable. 

25 Ce raisonneroent indiquant une strat^gie gagnante pour 

le devin montre que I "on ne sait pas distinguer des donn^es 
provenant de I'enregistrement d'une transaction r^ussie et des 
donn^es provenant d'une mascarade construite en inversant la 
chronologie de l»it#ration, c'est-a-dire en choisissant les 

30 exposants avant les titres. Le v^rificateur recueille des 
informations impossibles d distinguer de celles quMl aurait pu 
produire tout scul, sans interaction avec le v4rifi6, ce qui 
montre que l*accr#d1tation reste bien secrete dans la carte. 

Pour passer avec succ^s un trsitement 

35 d'authentification, le bluffeur doit deviner un exposant D. Si 
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les p valeurs de D sont *quiprobables^ la chance laiss^e au 
bluff eur est de 1/p. Le facteur de s^curit* est done p. 

Dans un tel treitement le y^rilM transmet une centaine 
de bits et un 4l4ment de I'anneau ; le v^rlficatcur transmet un 
exposant (D), Pour mener & bien un trait ement le v^rlfi^ calcule 
d'abord la puissance pubMque de l»*l6inent r t<r* au hasard^ puis 
le produit de cet «ltoent r par la puissance t 1«me de 
l*accr«ditat1on 6. Le v4rif1cateur fait un peu nolns de calcul 
pour retrouver le titre T car 11 peut combiner Intelllgemment les 
calcL-ls de puissance : la puissance Dl^me de I*1dent1t4 ombrag^e 
J et la puissance pl^me du t^moln t. 

SI I •exposant p vaut 2^^, alors I 'exposant D est un 
nombre de 16 A^nsl en un seul traltement, avec un facteur 

de s^curlt* de 2 , solt 65536^ le v^rlfl* calcule dans Manneau 
16 carr^s^ puis 16 carr^s et une noyenne de 8 multiplications, Le 
v^rlficateur ne calcule que 16 carris et procide en moyenne h 8 
multiplications. 

Le proc^d^ d'authentif ication de message est lUustr^ 
sur La figure 8 avec les m§mes conventions^ la difference avec la 
figure 7 consistent uniquement dans la formation de la fonction 
de compression f. 

Pour signer un message^ le d^tenteur de I 'accreditation 
B de profondeur p commence par tirer au hasard un eUment r dans 
I'anneau puis calcule la puissance publlque de I'eUment r(r^ mod 
N). Puis 11 produit un exposant D grfice k la fonction de 
compression f appUqu^e I la concatenation du message m et de la 
puissance publlque de I'eiement r. Le temoln t est le produit de 
I'eUment r par la puissance Dlfeme de I'accredltation B. Le 
message signe est la concatenation de I'identite du message m, 
de I 'exposant d et du temoin t. 

Pour verifier une signature, le verificateur calcule 
dans I'anneau le produit du temoin t & la puissance p par 
I'identite ombragee J (reconstruite t partir de L'identite 
proclamee I) > la puissance D pour reconstltuer ce qui dolt §tre 
la puissance publlque de I'etement r. Enfin, Le verificateur doit 
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retrouvep Uexposant D en appLiquant la fonction f 6 la 
concatenation du message m et de la puissance publlque 
reconstitute* 

C'est ce qui est illustr* sur la figure 9. 

.5 Si p s'icrit sur 64 bits quelconques^ le signataire 

fait environ 192 multiplications dans I'anneau (il doit calculer 
successivement deux puissances avec des exposants dc 64 bits sans 
pouvoir les combiner) pour nener d bien I'optration. Cette 
complexity est dtjd nettement inftrieure h celle du proc4d4 RSA : 

10 768 multiplications en moyenne pour une exponentielle modulo un 
nombre compos* sur 512 bits^ et 1536 pour un nombre compost sur 
1024 bits. 

Si p s'tcrit sur 64 bits quelconques, le vtrificateur 
fait seulement environ 112 multiplications, car 11 combine ses 
15 operations en 64 carrts et trois fois 16 multiplications en 
moyenne, pour calculer d'un seul coup t^.J*^ mod N. XI est heureux 
que I'authcntification soit plus simple que I'tlaboretion de la 
signature, car cheque signature est appeUe t €tre vtrifite 
plusieurs fois. 

64 

20 Mais, on peut choisir 2 <c«est-a-dire une puissance 

de 2) comme cxposant p pour simplifier les calculs, sans modifier 
la security du systtme. L'tUvation h la puissance p se fait 
alors par 64 carrts. L'exposant D est un nombre de 64 bits. La 
signature se fait alors en 160 multiplications. La verification 

25 d'une signature se traduit en moyenne par 96 multiplications dens 
L'anneau, soit 12,5% da RSA d 512 bits et 6,2% du RSA S 1024 
bits. 

Dans le precede anterieur FS decrit plus haut, avec 64 
accreditations multiples dans la mime carte, il faut un carre et 

30 une moyenne de 32 multiplications. Ainsi, la methode de 
I 'Invention h accreditation profonde, se paye par un surplus de 
calculs d'un facteur multipUcatif de I'ordre de 3. €uand, dans 
I'art anterieur, on se limite S 8 accreditations dans la carte, 
avec 8 temoins dans la signature, (8 iterations e 5 

35 multiplications, soit 40 multiplications), le rapport diminue 
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encore un peu^ en faveur de I • Invention. 

Bien entendu^ on peut aussi choisir 2^^+1 cofsme 

exposant public (c'est-6-dire un nonbre Impair). Au prix d'une 

seule multiplication supplemental re pour calculer une puissance 
5 publique^. on Uve ainsi certaines restrictions relatives aux 

r*sidus quadratiques dans l*anneau (lorsque l*exposant p est 

pair^ plusieurs <l4ments de l*anneau pouvant correspondre A la 

racine pi^mc^ mais un seul convenant). 

La figure 10 repr^sente sch^matiquement un calculateur 
10 permcttant de mettre en oeuvre ^Invention. 

Le calculateur represent* comprend une interface 

entrees-sorties ES^ une unit* centrale UC^ une mdmoire 

programmable du type h lecture seulement (PROn), une m^moire h 

lecture seulement (ROM) et une m^moire 6 sects direct (RAM). Le 
15 calculateur comprend encore un organe 6 du type g4nerateur de 

bruit ou gentrateur altatoire. 

L'accrMitatlon et les informations dMdentite 

inscrites dans la m§mo1re PROM sont inaccessibles de I'ext^rieur. 

Les programmes sont inscrits dans la memoire ROM. La mdmoire RAM 
20 sert h stocker des rtsultats de calcul. Le g^n^rateur G est 

utilise pour les t1 rages au sort des divers nombres intervenant 

dans le procWe (r^ 0). 

L'unlte centrale et les memoires peuvent §tre 

structurees comme le microcalculateur autoprogrammable 
25 monollthique d^crit dans le brevet 4^382,279 des Etats-Unis 

d'Amerlque. 

La fonction de compression peut faire appel ^ 
I'algorithme DES (Data Encryption Standard). II existe une carte 
d puce^ fabriquee par PHILIPS qui realise cet algorithme DES. 
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REVENDICATIONS 
1. ProcW4 d'authentiflcation d'une accrMltation 6 
apport nut de connaissance^ 

a) cette accreditation ayant *t6 *labor*e par un proc^d^ du type 
5 h cU publique comprcnant les operations suivantes ; 

- une autorit* habllltee h dHivrer des accreditations 
Choi sit deux nombres premiers^ forme le produit CN) de ces 
deux nombres, tient secrets ces nombres, choisit un entier p 
et publie N et p; 

'^0 • pour chaque detenteur d'une accreditation, une 

identite nuroerique 1 est constituee, puis compietee par 
redondance pour former un mot J appeie identite ombragee, 

• une accreditation A est eiaboree par L*autorite en 
prenant la racine pieme de I 'identite ombragee dans I'anneau 

15 des entiers modulo N (A = J^^^ mod N), 

- dans un support approprie contenant une memoire, 
Pautorite charge I'inverse modulo N de I'accreditation A soit 
un nombre B appeie accreditation Inverse <b"j mod N=1), ce 
nombre B constituent . ^accreditation quMl s'agit 

20 d'authentifier, 

b) I'authentification de I'accreditetion ainsi eiaboree, 
consistant en un processus numerique interactif et 
probabiliste du type h apport nuL de connaissance et 
s^etablissant entre un support contenant une accreditation, 

25 support appeie "le verifie" et un organe d'authentif ication 

appeie "le verif icateur", ce processus comprenant au moins un 
traitement numerique constitue par les operations connues 
suivantes : 

- le verifie tire d'abord au hasard un entier r 
30 appartenant e I'anneau des entiers modulo N, 

- le verifie eieve cet entier r S la puissance p modulo 
le resultat etant appeie titre T, 

- le verifie deiivre alors au moins une partie des bits 
du titre T, 
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* le virlflcateur tire ensulte au hasard un nombre <d) 
et demande au v^rifl* d»effectuer certalnes operations sur r 
et sur I'accrMltation inverse ces operations 6tant liees 
au nombre (d) tire au hasard par le v^rificateur et effectu^es 
dans I'anneau des cntiers modulo H, 

- le v^rifie deiivre au v4rif icateur un nombre t^ 
appeie timoin^ r^sultat de ces operations, 

- le verificateur effectue b son tour des operations 
portant sur le temoin t deiivre par le verifie et sur 
I'identite ombregee J du verifie, operations liees elles aussi 
au nombre d tire au hasard par le verificateur et effectuees 
dans l*anneau des entiers modulo 

- le verificateur compare le resultat ainsi obtenu ' 
avec les bits du titre T que le verifie a deiivre en debut de 
processus de verification, et admet I'authenticite de 
^accreditation sMl retrouve ces bits, 

cc procede etant caracterise par le fait que : 

a) lors de I'eiaboration de ^accreditation <B) le nombre p 
servant h extraire la racine p ieme de IMdentite ombragee (J) 
est choisi grand et comprend au moins une dizaine de bits, 

b) pour I'authentification de I'accreditation le processus ne 
comprend qu'un seul traitement interactif et probabiliste (et 
non une repetition d"un tel traitement), ce traitement unique 
consistent dans les operations suivantes : 

- le nombre que le verificateur tire au hasard est un 
entier D compris entre 0 et p-1 (bornes incluses), 

- I'operation que le verifie effectue pour deiivrer un 
temoin t est le produit, dans I'anneau des entiers modulo N, 
de Meiement r qu'il a lui mSme tire au hasard, par la 
puissance Dieme de I'accreditation inverse B, le titre etant 
alors tcr.B mod N, 

- les operations qu'effectue le verificateur sont le 
produit, dans I'anneau des entiers modulo N, de la puissance p 
ieme du temoin t par la puissance D ieme de Pidentite 
ombragee J, soit t^ J mod N, 
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- l*op6rat1on de comparaison effectu^e par le 
vfirlflcateur porta alors sur les bits du titre T d*livr*s par 
le v^rifi* et sur les bits obtenus par I'opiratlon pr^cWente^ 
l*authenticit4 de l'accr4d1tation *tant acqulse en un seul 

5 traitement 6ks lors que tous les bits du titre d4livr6 par le 

v^rifi* sont rctrouv^s par le v^rificateur dans t^ nod N. 

2. Proc«d6 d*authentification d'un message, ce message 
provenant d'un donneur d*ordre cens4 §tre accr^dit^ : 

a) I 'accreditation d'iin donneur d'ordre consistent en un mot 

10 num^rique 6 obtenu par un proc^d^ b cU publique comprenant 

les operations suivantes : 

- une autorite habilitee & deiivrer des accreditations 
choisit deux nombre premiers^ forme le produit N de ces deux 
nombres, tient secrets ces deux nombres, choisit un entier p 

15 et public N et p, 

- pour cheque donneur d'ordre une identity num^rique 1 
est constitute puis compUtee par rcdondance pour former un * 
mot J appeie identity ombragee, 

- une accreditation A est eiaboree par L'autorite en 
20 prenant la racine p ieme de I'identite ombragee J dans 

I'anneau des entiers modulo H, (A « J^^^ nod N), 

- dans un support approprie detenu par le donneur 
d'ordre I'autorite charge IMnverse modulo N de 
I'accreditation A, soit un nombre B appeie accreditation 

25 inverse (B J mod N=1), 

b) I'authentification d'un message (m) emis par un donneur 
d'ordre ainsi accredite consistent en un processus numerique 
interactif et probabiliste du type h apport nul de 
connaissance et s'etablissant entre le support du donneur 

30 d'ordre cense accredite et appeie "le verifie" et un organe de 

verification appeie "le verif icateur", ce processus comprenant 
au moins un traitement numerique constitue par les operations 
suivantes : 

- le verifie tire d'abord au hasard un entier r 
35 appar tenant 6 I'anneau des entiers modulo 
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- le v6r1f16 ^Uve cet entler r A la puissance p modulo 
N et calcule un r^sultat par une fonction de compression en 
prenant comine argument le message n et r^ nod soit f (m^ r^ 
mod N), le r^sultat ^tant appeU titre T, 

- le v4rif1^ d^Livre alors au moins une partie des bits 
de titre 

- le v^rificateur tire ensuite au hasard un nombre d et 
demande au v6rifi4 d*effectuer certaines operations sur r et 

sur l*accr(^ditation inverse ces operations etant li^es au 
nombre d tire au hasard par le verificateur et <tant 
effectuees dans I'anneau des entiers modulo 

- le virifi* fournit au virlficateur un nombre t^ 
appeie temoin^ r^sultat de ces operations, 

- le verificateur effectue d son tour des operations 
portant sur le temoin t deiivre par le verifie et sur 
IMdentite ombragee J du verifie, operations liees elles aussi 
au nombre D tire au hasard par le verificateur et effectuees 
dans I'anneau des entiers modulo 

* le verificateur forme une fonction de compression en 
prenant comme arguments le message h authentifier m et le 
resultat des operations precedentes, soit f(m, t, J), 

- le verificateur compare la fonction de compression 
obtenue avec le titre T que le verifie a deiivre en debut de 
processus de verification, 

ce processus etant caracterise par le fait que : 
a) lors de I'eiaboration de ^accreditation du donneur d'ordre, 
le nombre p servant S extraire la racine p ieme de I'identite 
ombragee est choisi grand et comprend au moins une dizaine de 
bits, 

b> pour I'authentif ication du message, le processus ne comprend 
qu*un seul traitement interactif et probabiliste (et non une 
repetition d'un tel traitement), ce traitement unique 
conti stent dans les operations suivantes : 

- le nombre que le verificateur tire au hasard est un 
entier D compris entre 0 et p-1 (bornes incluses). 



27 



2620248 



• Uop^ration que le v*rifi* effectue pour d6Uvrer le 
t^moin t est le produU^ dans I'enncau des entiers modulo 

de I'il^ment r quMl a lui nSme tir*^ par la puissance Ditoe 
de I •accreditation Inverse le t^moin «tant alors r.B^ nod 

- les operations qu'effectue le v^rificateur sont le 
produit^ dans I'anneau des entiers modulo H, de la puissance p 
iime du temoin t^ par la puissance t ihme de IMdentit* 
ombrag^e J, 

- le v^rificateur forme la fonction de compression du 
message et du r^sultat des operations precedentes soit f (m^ t** 
J nod N), 

• la comparaison que le v^rificateur effectue porte 
alors sur la fonction de compression quMl a obtenue et sur le 
titre T que le v^rifie lui a deiivre en debut de processus de 
verification^ L'authenticite du message etant acquise en un 
seul traitement des lors que^ e la fin de ce traitement, il y 
a correspondance entre tous les bits de la fonction de 
compression obtenue par le verificateur et les bits du titre 
deiivres par le verifie. 

3. Procede de signature d»un message par une entite, 
cette entite etant censee §tre accreditee^ 

a) ^accreditation d'une entite signataire de messages ayant ete 
eiaboree par un procede e cie publique comprenant les 
operations suivantes : 

- une autorite habilitee h deiivrer des accreditations 
Choi sit deux nombres premiers, forme le produit N de ces deux 
nombres, tient secrets les deux nombres premiers, choisit un 
entier p et publie N et p, 

- pour cheque entite signataire une identite numerique 
I est constituee puis compietee par redondance pour former un 
root J appeie identite ombragee, 

- une accreditation A est eiaboree par I'autorite en 
prenant la racine p ieme de I'identite ombragee J dans 
ranneau des entiers modulo N (A = J^^^ mod H), 
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* dans un support approprU detenu par le signataire 
I'autorU* charge IMnverse modulo N de I'accrWitatlon 
solt un nombre B appeli accrWitation Inverse <B^ J mod 

b) la signature d'un message m par un signataire dMdentit* 1 
consistant en un traitement num^rique probabiliste comprenant 
les operations sulvantes : 

* le signataire tire au hasard au moins un entier r 
appartenant A Panneau des entiers modulo H, 

" le signataire ilive cet entier r i la puissance p 

modulo 

- le signataire calcule une fonction de compression f 
en prenant comme arguments le message m h signer et La 
puissance r*^ obtenue, 

*- le signataire forme au moins un t^moin t en 
effectuant certaines operations sur r et sur l*accreditation 
inverse ces operations etant liees au nombre d tire au 
hasard et etant effectu^es dans I'anneau des entiers modulo. 

- le signataire transmet le message m, son identity I, 
le mot le ou les temoins t, I'ensemble constituent un message 
signe^ 

ce procede etant caracterise par le fait que : 

a) tors de I'eiaboraton de l^accrWitation du signataire le 
nombre p servant d extraire la ratine p i^me de I • identity 
ombragee est choisi grand et comprend plusieurs dizaines de 
bits^ 

b) pour l*operation de signature du message : 

- le signataire ne tire au hasard qu'un seul entier r 
appartenant S L'anneau des entiers modulo N, 

* la fonction de compression a pour arguments le 
message m et la puissance p ieme de r, ce qui fournit un 
nombre 

- le temoin unique produit par le signataire est le 
produit^ dans l'anneau des entiers modulo de Rentier r par 
la puissance D ieme de I'eccreditation inverse B^ 

- le signataire fournit, avec le message son 
identity I, le mot D et Le temoin t. 
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